Опубликовано: 30 июн. 2023
Источник: github
Github: Прошло ревью
CVSS4: 9.3
CVSS3: 9.8
Описание
pipreqs vulnerable to Dependency Confusion
A dependency confusion in pipreqs v0.3.0 to v0.4.11 allows attackers to execute arbitrary code via uploading a crafted PyPI package to the chosen repository server.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2023-31543
- https://github.com/bndr/pipreqs/pull/364
- https://github.com/bndr/pipreqs/commit/3f5964fcb90ec6eb6df46d78e651a1b73538d0ba
- https://gist.github.com/adeadfed/ccc834440af354a5638f889bee34bafe
- https://github.com/bndr/pipreqs/blob/master/pipreqs/pipreqs.py#L447-L449
- https://github.com/pypa/advisory-database/tree/main/vulns/pipreqs/PYSEC-2023-99.yaml
Пакеты
Наименование
pipreqs
pip
Затронутые версииВерсия исправления
>= 0.3.0, < 0.4.12
0.4.12
EPSS
Процентиль: 70%
0.00643
Низкий
9.3 Critical
CVSS4
9.8 Critical
CVSS3
CVE ID
Дефекты
CWE-427
Связанные уязвимости
CVSS3: 9.8
nvd
больше 2 лет назад
A dependency confusion in pipreqs v0.3.0 to v0.4.11 allows attackers to execute arbitrary code via uploading a crafted PyPI package to the chosen repository server.
CVSS3: 9.8
debian
больше 2 лет назад
A dependency confusion in pipreqs v0.3.0 to v0.4.11 allows attackers t ...
EPSS
Процентиль: 70%
0.00643
Низкий
9.3 Critical
CVSS4
9.8 Critical
CVSS3
CVE ID
Дефекты
CWE-427